Header graphic for print
Datenschutz News & Trends
Rubrik: Compliance, Datenschutz Allgemein, Datenschutz International

Safe Harbor: Stellungnahme des Hamburgischen Datenschutzbeauftragten

Das Safe Harbor Urteil des Europäischen Gerichtshofs („EuGH„) vom 6. Oktober 2015 beschäftigt nach wie vor intensiv die Datenschutzbehörden. Nunmehr hat auch der Hamburgische Beauftragte für Datenschutz und Informationssicherheit („HmbBfDI„) eine Stellungnahme veröffentlicht. In dieser erklärt er zum einen die Übereinstimmung mit den Positionen der Artikel-29-Gruppe und der Konferenz der Datenschutzbehörden des Bundes und der Länder („DSK“) zu den Folgen des Safe-Harbor Urteils. Zugleich kündigt er die Überprüfung von in Hamburg ansässigen US-Tochterunternehmen an.

Der HmbBfDI schließt sich, wenig überraschend, der Bewertung der DSK und der Artikel-29-Gruppe an, dass Datenübermittlungen in die USA auf Grundlage von Safe Harbor unzulässig sind. Auch anderen Instrumenten zur Rechtfertigung der transatlantischen Datenübermittlung steht er kritisch gegenüber.

Die Eckpunkte der Stellungnahme des HmbBfDI lassen sich wie folgt zusammenfassen:

  • Unternehmen mit Sitz in Hamburg sollen überprüft werden, ob sie Daten allein auf Grundlage von Safe-Habor in die USA übermitteln.
  • Diese Prüfung soll sich vor allem auf Tochterunternehmen von Safe-Harbor gelisteten US-Unternehmen erstrecken, die ihren Sitz in Hamburg haben und ihre Daten an Mutterunternehmen in die USA übersenden.
  • Verstöße sollen insbesondere mit Untersagungsverfügungen geahndet werden.
  • Im Hinblick auf EU-Standardvertragsklauseln oder Binding Corporate Rules (verbindlichen Unternehmensregelungen), sollen solange keine Maßnahmen erlassen werden, wie die Konsequenzen aus dem EuGH Urteil für diese Instrumente noch nicht abschließend geklärt sind. Faktisch dürfte damit der vom DSK genannte 31. Januar 2016 gemeint sein.
  • Nicht betroffen von den rechtlichen Konsequenzen des Urteils bleibt nur, wer personenbezogene Daten künftig nur auf Servern innerhalb der EU (und des EWR) speichert.

Für eine künftige Lösung des Problems sieht der HmbBfDI die EU-Kommission politisch in der Pflicht, in ihren Verhandlungen mit den USA auf ausreichende Garantien zum Schutz der Privatsphäre zu drängen.

Was ist zu tun?

Unternehmen, die für Datentransfers in die USA bislang allein auf die Safe-Habor Zertifizierung gesetzt haben, sollten zur Risikominimierung dringend auf andere Lösungen umsteigen. Wer bisher auf Standvertragsklauseln oder Binding Corporate Rules gesetzt hat, kann diese weiterhin als Übergangslösung für Datenübermittlungen in die USA nutzen. Allerdings verschaffen auch diese Lösungen keine Rechtssicherheit auf mittel- und langfristige Sicht. Unternehmen sind daher gut beraten, die Rechtslage und die Auffassungen der Datenschutzbehörden mit hoher Wachsamkeit zu beobachten, wie wir hier schon ausführlich berichtet haben.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu